假Java零時差漏洞修補程式,真勒索軟體

有一句話要提醒給想要更新系統來修補最新的Java零時差漏洞的使用者:確保從可靠的來源下載,不然就可能會面臨被惡意軟體感染的後果。

Oracle最近發佈了針對被討論得沸沸揚揚的Java零時差漏洞(CVE-2012-3174)的修補程式。雖然包括美國國土安全部在內的許多單位對其的反應都不佳。然而,趨勢科技也看到有惡意軟體隱藏在Java更新背後。

有惡意軟體會偽裝成Java Update 11,這個有問題的假更新是被偵測為JAVA_DLOADER.NTW的javaupdate11.jar檔案,其中包含javaupdate11.class會下載並執行惡意檔案up1.exe和up2.exe(這兩個檔案都被偵測為BKDR_ANDROM.NTW)。一旦執行,這個後門程式會連到遠端伺服器,讓潛在攻擊者可以控制受感染的系統。使用者連到惡意網站{BLOCKED}currencyreport.com/cybercrime-suspect-arrested/javaupdate11.jar就可能下載到這個假更新。

 

勒索軟體偽裝成Java零時差漏洞修補程式
勒索軟體偽裝成Java零時差漏洞修補程式

 

JAVA_DLOADER.NTW 會下載並執行Up1.exe(BKDR_ANDROM.NTW)和Up2.exe(TSPY_KEYLOG.NTW)。TSPY_KEYLOG.NTW木馬隨後會下載並執行被偵測為TROJ_RANSOM.ACV%User Temp%\{random file name}.exe。經過趨勢科技的分析,這個勒索軟體 Ransomware會鎖定使用者螢幕,並且嘗試連上特定網站以顯示警告訊息給使用者。

這威脅背後的壞人很顯然地利用了Java零時差攻擊事件和使用者的害怕心理。偽裝成軟體更新算是舊社交工程陷阱( Social Engineering)手法了。這並不是第一次有網路犯罪分子利用軟體更新。趨勢科技在去年報導過,有惡意軟體偽裝成雅虎即時通,我們所發現的時間就正好在雅虎宣布更新其即時通的時候。

 

惡意軟體偽裝成雅虎即時通
惡意軟體偽裝成雅虎即時通

 

有鑑於最近這些跟Java有關的事件,使用者必須認真考慮是否要繼續使用Java。真的需要它嗎?如果是,請按照我們所建議的步驟來保護自己,並且只從Oracle官方網站下載安全更新。

趨勢科技主動式雲端截毒服務  Smart Protection Network可以在受感染系統上偵測並刪除相關威脅以保護使用者。

@原文出處:Malware Poses as an Update for Java 0-Day Fix作者:Paul Pajares(詐騙分析師)

◎延伸閱讀

如果一定要使用Java,該怎麼辦?
重大資安風險通報—-Java零時差漏洞的防護及建議處裡行動
後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器《Java 零時差漏洞攻擊》
關閉Java而非JavaScript(含停用 Java 指南)

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX
Apple:這是Java的原罪
《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

◎即刻加入趨勢科技社群網站,精彩不漏網